No puedo guardar los datos escapados en MySQL

Lechu_ · #1 (**permalink**) 03/08/2014, 09:19

Hola.

Estoy tratando de guardar los datos escapados en la base de datos pero pese a que uso mysqli_real_escape_string(), los datos como \n, \r, \, ' se guardan en la base

Ejemplo: $_POST ['nombre'] = "pr'ueb\ra"

mysqli_real_escape_string($_POST ['nombre']); //Rdo esperado: pr\'ueb\\ra

Hice varias pruebas pero ninguna funciona:

Código:

$query = sprintf("INSERT INTO usuarios (us_nom, us_ape, us_nivel, us_nick, us_pass) VALUES ('%s', '%s', '%s', '%s', '%s')", mysqli_real_escape_string($laConexion, $_POST['nombre']), mysqli_real_escape_string($laConexion, $_POST['apellido']),
 '10', 
mysqli_real_escape_string($laConexion, $_POST['nick']), mysqli_real_escape_string($laConexion, $_POST['pass']));

Código:

$nom = mysqli_real_escape_string($laConexion, $_POST['nombre']);
$query = "INSERT INTO usuarios (us_nom, us_ape, us_nivel, us_nick, us_pass) VALUES ('$nom', '{$_POST['apellido']}', '10', '{$_POST['nick']}', '{$_POST['pass']}')";

En todos los casos las variables se escapan pero se guardan sin escapar en la base de datos.

¿alguna idea?¿qué estoy haciendo mal?

Gracias.

Patriarka · #2 (**permalink**) 03/08/2014, 09:55

tenes que primero parsear el dato y despues guardarlo:

Código PHP:

Ver original<?
function prepareTextInput($text)
    {
        return trim(htmlentities(str_replace(array('\"','\\\''),array('"',"'"),$text), ENT_QUOTES, "UTF-8", true));
    }
    function prepareTextOutput($text){
        //return str_replace("\n","<br />",html_entity_decode($text, ENT_NOQUOTES, 'UTF-8'));
        return html_entity_decode($text, ENT_NOQUOTES, 'UTF-8');
    }
?>

Lechu_ · #3 (**permalink**) 03/08/2014, 17:33

Pero justamente mysqli_real_escape_string() cumple la funcion de escapar los valores.

Tu funcion transforma algunos caracteres en su correspondencia de HTML.

Yo quiero escapar los valores, guardarlos en la base de datos y asi evitar las inyecciones SQL

Ejemplo: $_POST ['nombre'] = "pr'ueb\ra"

mysqli_real_escape_string($_POST ['nombre']); //Rdo esperado: pr\'ueb\\ra

Saludos.-

Patriarka · #4 (**permalink**) 03/08/2014, 18:04

las podes combinar

para mi lo mejor es usar PDO, tiene muchisima mas seguridad que mysqli_real_escape_string

carlos_belisario · #5 (**permalink**) 03/08/2014, 18:10

mysqli también cuenta con consultas preparadas que te verifican el tipo de dato y te escapan las cadenas cuando es necesario hacerlo, ve un poco de esto y lo más seguro es que te ayude, aunque en lo personal también prefiero PDO, saludos